Cuevas & Martínez Asesores
De cara a la próxima primavera todas las empresas que recojan y almacenen datos personales deberán aplicar el nuevo Reglamento de la U.E. de Protección de Datos de carácter personal, el cual va a dar un giro a la figura del Encargado de Tratamiento y sus obligaciones con respecto al Responsable de los datos personales.
A partir de entonces los Responsables podrán pedir pruebas a sus Encargados de Tratamiento de la aplicación de políticas de Protección de Datos en su organización. Esto viene amparado por el nuevo Reglamento en su Art. 28, donde se indica que el Responsable del Tratamiento elegirá únicamente un Encargado del Tratamiento que ofrezca garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas que garanticen en todo momento los derechos de los interesados cuyos datos de carácter personal van a ser procesados con motivo del servicio solicita.
Antes de entrar a explicar el cambio que traerá el nuevo reglamento es importante que la figura del Encargado de Tratamiento y sus funciones queden totalmente claras.
Un Encargado del Tratamiento puede ser una empresa, un autónomo, una autoridad pública... que realiza un servicio en el que el tratamiento y/o almacenamiento de datos personales propiedad de un tercero es necesario; por lo que el Encargado de Tratamiento presta servicios para el Responsable "en su nombre" pero siempre cumpliendo las instrucciones e indicaciones del Responsable el Encargado de tratamiento NO PUEDE decidir sobre las finalidades y usos de los datos que maneja por cuanta del Responsable, ni tampoco manejarlos en su propio beneficio.
El Encargado de Tratamiento en cambio, sí que está capacitado a tomar las decisiones organizativas y realizar las operacionales necesarias para la prestación del servicio contratado por el Responsable.
Ejemplos: Empresas de hosting, empresas de mantenimiento informático, empresas de limpieza...
¿Un Encargado de Tratamiento puede recurrir a otro Encargado de tratamiento?
Solamente se podrá llevar a cabo en los casos que exista autorización del Responsable, además el Encargado deberá informarle de incorporaciones o sustituciones futuras de otros encargados, por si el Responsable quiere oponerse a ello.
En este caso además el Encargado principal deberá imponerse al otro Encargado mediante un Acuerdo específico, con las mismas medidas que en su momento firmó con el Responsable.
En caso que el segundo encargado de Tratamiento incumpla con las directrices marcadas, el Encargado inicial será quien responda ante el Responsable de Tratamiento.
¿Cómo deberá ser la elección de los Encargados de Tratamiento a partir del 2018?
La implantación de procesos de protección de datos en los servicios del Encargado de Tratamiento debe ser algo primordial a conocer por parte del Responsable de Tratamiento. Los conocimientos sobre la Protección de Datos y su normativa será también algo a tener en cuenta a la hora de la elección de un Encargado, por tanto este deberá conocer perfectamente las medidas a implantar según el nivel de servicio que requiera el Responsable y siempre respondiendo a sus instrucciones.
Estas especificaciones concretas del RGPD además será de aplicación al almacenamiento y/o tratamiento de datos personales de interesados que residan en la Unión realizado por un encargado no establecido en la Unión.
¿Se tiene que seguir firmando Acuerdos con los Encargados de Tratamiento?
Sin duda. La regulación de la relación entre ambos debe quedar avalada por un contrato por escrito, que hasta el momento debía ser bilateral, pero con la entrada del Nuevo Reglamento cabe la posibilidad de regular esta relación a través de un acto jurídico unilateral del responsable del tratamiento. Además los acuerdos firmados deberán especificar como el Encargado de Tratamiento aplicará las medidas de seguridad que correspondan al Responsable según el tipo de datos personales que trate, así como las consecuencias de las violaciones de uso de datos, si el Responsable va a llevar a cabo revisiones sobre el encargado de tratamiento deberá especificarse en qué consistirán, cuándo se estima su realización... El responsable puede delegar en el encargado el cumplimiento de estas obligaciones.
¿Qué debe contener el Acuerdo?
- Finalidad
- Naturaleza del acuerdo
- Tipo de datos tratados
- Instrucciones a cumplir
- Derechos
¿Qué sucede con la información que posee el Encargado de Tratamiento en caso que finalicemos la relación?
El Encargado del Tratamiento tendrá que eliminar totalmente y/o a la devolver los datos personales que tenga almacenados, al Responsable o a otro Encargado de Tratamiento que haya contratado el Responsable. Deberá devolver incluso las copias existentes, a no ser que sea necesario conservar una copia, con los datos debidamente bloqueados, por si pueda derivarse responsabilidades de la ejecución de la prestación.